Megosztás a következőn keresztül:

Oktatóanyag: Az F5 BIG-IP SSL-VPN konfigurálása a Microsoft Entra SSO-hoz

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az F5 BIG-IP-alapú biztonságos szoftvercsatornás virtuális magánhálózatot (SSL-VPN) a Microsoft Entra ID-val a biztonságos hibrid hozzáférés (SHA) érdekében.

A Big-IP SSL-VPN engedélyezése a Microsoft Entra egyszeri bejelentkezéshez (SSO) számos előnnyel jár, például:

További előnyökért lásd:

Forgatókönyv leírása

Ebben a forgatókönyvben az SSL-VPN szolgáltatás BIG-IP Access Policy Manager (APM) példánya biztonsági helyességi korrektúranyelvként (SAML) van konfigurálva, a Microsoft Entra ID pedig a megbízható SAML-identitásszolgáltató (IDP). A Microsoft Entra ID egyszeri bejelentkezése (SSO) jogcímalapú hitelesítésen keresztül történik a BIG-IP APM-hez, amely egy zökkenőmentes virtuális magánhálózati (VPN-) hozzáférési felület.

Az integrációs architektúra ábrája.

Feljegyzés

Cserélje le az útmutatóban szereplő példasztringeket vagy értékeket a környezetében lévőkre.

Előfeltételek

Az F5 BIG-IP előzetes ismerete vagy ismerete nem szükséges, azonban a következőkre van szüksége:

  • Microsoft Entra-előfizetés
    • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot kaphat
  • A helyszíni címtárból szinkronizált felhasználói identitások a Microsoft Entra-azonosítóval
  • Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator
  • BIG-IP-infrastruktúra a BIG-IP-cím felé és onnan érkező ügyfélforgalommal
  • A BIG-IP által közzétett VPN-szolgáltatás rekordja egy nyilvános tartománynév-kiszolgálón (DNS)
    • Vagy egy tesztügyfél localhost-fájlja tesztelés közben
  • A BIG-IP ki van építve a szolgáltatások HTTPS-en keresztüli közzétételéhez szükséges SSL-tanúsítványokkal

Az oktatóanyagi élmény javítása érdekében az F5 BIG-IP-szószedet iparági szabvány szerinti terminológiájának elsajátítása.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Állítson be egy SAML összevonási megbízhatóságot a BIG-IP között, hogy a Microsoft Entra BIG-IP átadhassa az előhitelesítést és a Feltételes hozzáférést a Microsoft Entra-azonosítóhoz, mielőtt hozzáférést adna a közzétett VPN-szolgáltatáshoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Minden alkalmazás lehetőséget, majd válassza az Új alkalmazás lehetőséget.
  3. A katalógusban keresse meg az F5-öt , és válassza az F5 BIG-IP APM Microsoft Entra ID-integrációt.
  4. Adja meg az alkalmazás nevét.
  5. Válassza a Hozzáadás majd a Létrehozás lehetőséget.
  6. A név ikonként jelenik meg a Microsoft Entra Felügyeleti központban és az Office 365 portálon.

A Microsoft Entra SSO konfigurálása

  1. Az F5-alkalmazástulajdonságokkal lépjen az Egyszeri bejelentkezés kezelése>elemre.

  2. A Select a single sign-on method page, select SAML.

  3. Válassza a Nem lehetőséget , majd később mentem.

  4. Az SAML-lel való egyszeri bejelentkezés beállítása menüben válassza az egyszerű SAML-konfiguráció tollikonját.

  5. Cserélje le az azonosító URL-címét a BIG-IP által közzétett szolgáltatás URL-címére. Például: https://ssl-vpn.contoso.com.

  6. Cserélje le a Válasz URL-címet és az SAML-végpont elérési útját. Például: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Feljegyzés

    Ebben a konfigurációban az alkalmazás idP által kezdeményezett módban működik: a Microsoft Entra ID a BIG-IP SAML szolgáltatásra való átirányítás előtt saml-állítást ad ki.

  7. Az IdP által kezdeményezett módot nem támogató alkalmazások esetében a BIG-IP SAML szolgáltatásban adja meg például https://ssl-vpn.contoso.coma bejelentkezési URL-címet.

  8. A kijelentkezés URL-címeként adja meg a big-IP APM egyszeri kijelentkezés (SLO) végpontot, amelyet a közzétett szolgáltatás gazdagépfejléce előír. Például: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Feljegyzés

    Az SLO URL-címe biztosítja, hogy a felhasználói munkamenet BIG-IP-címen és Microsoft Entra-azonosítón végződjön, miután a felhasználó kijelentkezett. A BIG-IP APM-nek lehetősége van az összes munkamenet leállítására egy alkalmazás URL-címének meghívásakor. További információ a K12056: A kijelentkezés URI belefoglalási lehetőségének áttekintése című F5-cikkről.

Képernyőkép az EGYSZERŰ SAML-konfigurációs URL-címekről..

Feljegyzés

A TMOS v16-ból az SAML SLO-végpont /saml/sp/profile/redirect/slo lett.

  1. Válassza a Mentés lehetőséget

  2. Hagyja ki az egyszeri bejelentkezés tesztelési kérését.

  3. A Felhasználói attribútumok > Jogcímek tulajdonságban figyelje meg a részleteket.

    Képernyőkép a felhasználói attribútumokról és a jogcím tulajdonságairól.

Más jogcímeket is hozzáadhat a BIG-IP által közzétett szolgáltatáshoz. Az alapértelmezett készleten kívül definiált jogcímek akkor lesznek kiállítva, ha a Microsoft Entra-azonosítóban vannak. Definiálja a címtárszerepköröket vagy csoporttagságokat egy felhasználói objektumhoz a Microsoft Entra ID-ban, mielőtt jogcímként kibocsátható lenne.

Képernyőkép az összevonási metaadatok XML-letöltési lehetőségéről.

A Microsoft Entra ID által létrehozott SAML-aláíró tanúsítványok élettartama három év.

Microsoft Entra-engedélyezés

A Microsoft Entra ID alapértelmezés szerint jogkivonatokat ad ki a szolgáltatáshoz hozzáféréssel rendelkező felhasználók számára.

  1. Az alkalmazáskonfigurációs nézetben válassza a Felhasználók és csoportok lehetőséget.

  2. Válassza a + Felhasználó hozzáadása lehetőséget.

  3. A Hozzárendelés hozzáadása menüben válassza a Felhasználók és csoportok lehetőséget.

  4. A Felhasználók és csoportok párbeszédpanelen adja hozzá a VPN-hez való hozzáférésre jogosult felhasználói csoportokat

  5. Válassza a Hozzárendelés kiválasztása lehetőséget>.

    Képernyőkép a Felhasználó hozzáadása lehetőségről.

Beállíthatja a BIG-IP APM-t az SSL-VPN szolgáltatás közzétételéhez. Konfigurálja a megfelelő tulajdonságokkal az SAML-előhitelesítés megbízhatóságának befejezéséhez.

BIG-IP APM-konfiguráció

SAML-összevonás

A VPN-szolgáltatás Microsoft Entra-azonosítóval való összevonásához hozza létre a BIG-IP SAML-szolgáltatót és a megfelelő SAML IDP-objektumokat.

  1. Nyissa meg az Összevonási>SAML-szolgáltató>helyi SP-szolgáltatásainak elérését.>

  2. Válassza a Létrehozás lehetőséget.

    Képernyőkép a Létrehozás lehetőségről a Helyi SP Services lapon.

  3. Adjon meg egy nevet és a Microsoft Entra-azonosítóban definiált entitásazonosítót.

  4. Adja meg a gazdagép teljes tartománynevét (FQDN) az alkalmazáshoz való csatlakozáshoz.

    Képernyőkép a név- és entitásbejegyzésekről.

    Feljegyzés

    Ha az entitás azonosítója nem egyezik meg a közzétett URL-cím gazdagépnevével, konfigurálja az SP-név beállításait, vagy hajtsa végre ezt a műveletet, ha nem gazdagépnév URL-formátumban van. Ha az entitás azonosítója, urn:ssl-vpn:contosoonlineadja meg a közzétett alkalmazás külső sémáját és állomásnevét.

  5. Görgessen le az új SAML SP-objektum kiválasztásához.

  6. Válassza a Bind/UnBind IDP Csatlakozás ors lehetőséget.

    Képernyőkép a Helyi SP Services lapon a Kötés feloldása idP Csatlakozás ions beállításról.

  7. Válassza az Új identitásszolgáltató létrehozása Csatlakozás or lehetőséget.

  8. A legördülő menüben válassza a Metaadatokból lehetőséget

    Képernyőkép a Metaadatokból lehetőségről az SAML-azonosítók szerkesztése lapon.

  9. Keresse meg a letöltött összevonási metaadat-XML-fájlt.

  10. Az APM-objektumhoz adjon meg egy identitásszolgáltatói nevet , amely a külső SAML-azonosítót jelöli.

  11. Az új Microsoft Entra külső idP-összekötő kiválasztásához válassza az Új sor hozzáadása lehetőséget.

    Képernyőkép az SAML IdP Csatlakozás ors beállításáról az SAML IdP szerkesztése lapon.

  12. Válassza a Frissítés lehetőséget.

  13. Kattintson az OK gombra.

    Képernyőkép a Common, VPN Azure hivatkozásról az SAML-azonosítók szerkesztése lapon.

Webtop-konfiguráció

Engedélyezze az SSL-VPN használatát a felhasználóknak a BIG-IP webportálon keresztül.

  1. Nyissa meg az Access>webtoplistákat.>

  2. Válassza a Létrehozás lehetőséget.

  3. Adjon meg egy portálnevet.

  4. Állítsa be a típust Teljes értékre, példáulContoso_webtop: .

  5. Végezze el a fennmaradó beállításokat.

  6. Válassza a Kész elemet.

    Képernyőkép a név- és típusbejegyzésekről az Általános tulajdonságok területen.

VPN-konfiguráció

A VPN-elemek az általános szolgáltatás szempontjait vezérli.

  1. Nyissa meg az Access> Csatlakozás ivity/VPN>Network Access (VPN)>IPV4 bérletkészleteket

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a VPN-ügyfelek számára lefoglalt IP-címkészlet nevét. Például Contoso_vpn_pool.

  4. Állítsa be a típust IP-címtartományra.

  5. Adjon meg egy kezdő és egy záró IP-címet.

  6. Válassza a Hozzáadás lehetőséget.

  7. Válassza a Kész elemet.

    Képernyőkép a név- és taglista-bejegyzésekről az Általános tulajdonságok területen.

A hálózati hozzáférési lista ip- és DNS-beállításokkal irányítja ki a szolgáltatást a VPN-készletből, a felhasználói útválasztási engedélyeket, és alkalmazásokat indíthat el.

  1. Nyissa meg az Access> Csatlakozás ivity/VPN: Network Access (VPN)>Network Access listáit.

  2. Válassza a Létrehozás lehetőséget.

  3. Adjon nevet a VPN hozzáférési listájának és képaláírás, például a Contoso-VPN-nek.

  4. Válassza a Kész elemet.

    Képernyőkép a névbevitelről az Általános tulajdonságok területen, és képaláírás bejegyzés a Testreszabási Gépház angol nyelven című témakörben.

  5. A felső menüszalagon válassza a Hálózati Gépház lehetőséget.

  6. Támogatott IP-verzió: IPV4.

  7. IPV4 bérletkészlet esetén válassza ki a létrehozott VPN-készletet, például Contoso_vpn_pool

    Képernyőkép az Általános Gépház IPV4-bérletkészlet bejegyzéséről.

    Feljegyzés

    Az Ügyfél Gépház beállításaival korlátozásokat kényszeríthet ki arra vonatkozóan, hogy az ügyfélforgalom hogyan legyen átirányítva egy létrehozott VPN-ben.

  8. Válassza a Kész elemet.

  9. Lépjen a DNS/Gazdagépek lapra.

  10. IPV4 elsődleges névkiszolgáló esetén: A környezet DNS-IP-címe

  11. Alapértelmezett DNS-tartomány utótagja: A VPN-kapcsolat tartomány-utótagja. Például contoso.com

    Képernyőkép az IPV4 elsődleges kiszolgáló nevének és a DNS alapértelmezett tartomány utótagjának bejegyzéséről.

Feljegyzés

Lásd az F5-ös cikket, amely a hálózati hozzáférési erőforrások konfigurálását ismerteti más beállításokhoz.

A VPN-szolgáltatás által támogatott VPN-ügyféltípus-beállítások konfigurálásához BIG-IP kapcsolatprofil szükséges. Például Windows, OSX és Android.

  1. Lépjen az Access> Csatlakozás ivity/VPN> Csatlakozás ivity>Profiles elemre

  2. Válassza a Hozzáadás lehetőséget.

  3. Adjon meg egy profilnevet.

  4. Állítsa a szülőprofilt /Common/connectivity értékre, például Contoso_VPN_Profile.

    Képernyőkép az Új Csatlakozás tivitási profil létrehozása profilnév és szülőnév bejegyzéséről.

Hozzáférési profil konfigurációja

A hozzáférési szabályzat lehetővé teszi a szolgáltatást AZ SAML-hitelesítéshez.

  1. Nyissa meg a Hozzáférési>profilok/szabályzatok>hozzáférési profilok (munkamenet-alapú szabályzatok) elemet.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a profil nevét és a profil típusát.

  4. Válassza az Összes lehetőséget, például Contoso_network_access.

  5. Görgessen le, és adjon hozzá legalább egy nyelvet az Elfogadott nyelvek listához

  6. Válassza a Kész elemet.

    Képernyőkép az Új profil név, profiltípus és nyelv bejegyzéséről.

  7. Az új hozzáférési profil Munkamenet-alapú szabályzat mezőjében válassza a Szerkesztés lehetőséget.

  8. A vizualizációszabályzat-szerkesztő egy új lapon nyílik meg.

    Képernyőkép az Access-profilok szerkesztési lehetőségéről, előszűrési szabályzatokról.

  9. Jelölje ki a + jelet.

  10. A menüben válassza a Hitelesítési>SAML-hitelesítés lehetőséget.

  11. Válassza az Elem hozzáadása lehetőséget.

  12. Az SAML hitelesítési SP konfigurációjában válassza ki a létrehozott VPN SAML SP-objektumot

  13. Válassza a Mentés lehetőséget.

    Képernyőkép az AAA-kiszolgáló SAML Authentication SP alatti bejegyzéséről a Tulajdonságok lapon.

  14. Az SAML-hitelesítés sikeres ágához válassza a lehetőséget + .

  15. A Hozzárendelés lapon válassza a Speciális erőforrás-hozzárendelés lehetőséget.

  16. Válassza az Elem hozzáadása lehetőséget.

  17. Az előugró ablakban válassza az Új bejegyzés lehetőséget

  18. Válassza a Hozzáadás/Törlés lehetőséget.

  19. Az ablakban válassza a Hálózati hozzáférés lehetőséget.

  20. Válassza ki a létrehozott Hálózati hozzáférési profilt.

    Képernyőkép az Erőforrás-hozzárendelés Új bejegyzés hozzáadása gombjáról a Tulajdonságok lapon.

  21. Lépjen a Webtop lapra .

  22. Adja hozzá a létrehozott webtop objektumot.

    Képernyőkép a webtop lapon létrehozott weblapról.

  23. Válassza a Frissítés lehetőséget.

  24. Válassza aMentés parancsot.

  25. A Sikeres ág módosításához jelölje ki a hivatkozást a Felső Megtagadás mezőben.

  26. Megjelenik az Engedélyezés felirat.

  27. Mentés.

    Képernyőkép az Access Policy Megtagadás lehetőségéről.

  28. Válassza a Hozzáférési szabályzat alkalmazása lehetőséget

  29. Zárja be a vizualizációszabályzat-szerkesztő lapot.

    Képernyőkép az Access Policy alkalmazása lehetőségről.

A VPN-szolgáltatás közzététele

Az APM-hez egy előtérbeli virtuális kiszolgálóra van szükség a VPN-hez csatlakozó ügyfelek figyeléséhez.

  1. Válassza a helyi forgalom virtuális>kiszolgálók>virtuális kiszolgálóinak listáját.

  2. Válassza a Létrehozás lehetőséget.

  3. A VPN virtuális kiszolgálóhoz adjon meg egy nevet, például VPN_Listener.

  4. Válasszon ki egy nem használt IP-célcímet útválasztással az ügyfélforgalom fogadásához.

  5. Állítsa a szolgáltatásportot 443 HTTPS-ra.

  6. Állapot esetén győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva.

    Képernyőkép az Általános tulajdonságok név- és célcím- vagy maszkbejegyzéséről.

  7. A HTTP-profil beállítása http-ra.

  8. Adja hozzá az SSL-profilt (ügyfelet) a létrehozott nyilvános SSL-tanúsítványhoz.

    Képernyőkép az ügyfél HTTP-profilbejegyzéséről és az ügyfélhez kiválasztott SSL-profil-bejegyzésekről.

  9. A létrehozott VPN-objektumok használatához állítsa be az Access-profilt és a Csatlakozás tivitási profilt az Access-szabályzat alatt.

    Képernyőkép az Access-profilról és a Csatlakozás tivitási profil bejegyzéséről az Hozzáférési szabályzatban.

  10. Válassza a Kész elemet.

Az SSL-VPN szolgáltatás közzé van téve és elérhető az SHA-on keresztül, annak URL-címével vagy a Microsoft alkalmazásportáljaival.

Következő lépések

  1. Nyisson meg egy böngészőt egy távoli Windows-ügyfélen.

  2. Keresse meg a BIG-IP VPN szolgáltatás URL-címét.

  3. Megjelenik a BIG-IP webtop portál és a VPN-indító.

    Képernyőkép a Contoso hálózati portál oldaláról a hálózati hozzáférés jelzőjével.

    Feljegyzés

    Válassza ki a VPN-csempét a BIG-IP Edge-ügyfél telepítéséhez és az SHA-hoz konfigurált VPN-kapcsolat létrehozásához. Az F5 VPN-alkalmazás célerőforrásként látható a Microsoft Entra Feltételes hozzáférésben. A Microsoft Entra-azonosító jelszó nélküli hitelesítésének engedélyezéséhez tekintse meg a feltételes hozzáférési szabályzatokat.

Források